AI News HubLIVE
站内改写

更多州数据法律信号企业应对AI与隐私问题

2025年,美国又有八个州实施新的数据隐私法,企业无论位于何处,只要达到一定门槛都将受到影响。州检察长加大执法力度,FTC加强隐私执法,AI的影响使问题更加复杂。企业需要重新审视数据隐私框架,考虑全国统一或州级差异化的合规策略。

文章情报

工程师中级

要点

  • 八个新州数据隐私法将于2025年生效,企业需注意特定要求。
  • 州检察长和FTC加大隐私执法,涉及AI的算法处置等新工具。
  • 企业应选择全国统一或州级差异化合规方法。
  • 敏感数据和未成年人数据的保护成为焦点。

为什么重要

这条新闻值得关注,因为八个新州数据隐私法将于2025年生效,企业需注意特定要求。

技术影响

可能影响模型选型、推理成本、产品能力和评测基准。

数据隐私风暴正在酝酿,政府执法行动不断升级,人工智能的影响日益增大。随着2025年又有八个州实施新的数据隐私法,无论企业位于何处,只要达到一定门槛,都将受到影响。

面对日益复杂的监管环境,企业需要重新审视其数据隐私框架,以减轻潜在的集体诉讼和政府行动。

各州检察长加强了对数据隐私法的执法。加利福尼亚州、新罕布什尔州、得克萨斯州和弗吉尼亚州设立了隐私执法部门,表明对企业审查力度的加强。加利福尼亚州检察长罗布·邦塔和解了多起《加州消费者隐私法案》违规案件,包括对丝芙兰、DoorDash和Glow的行动,并对移动应用和流媒体服务发起了调查。得克萨斯州检察长肯·帕克斯顿今年宣布积极执行得州隐私法,包括与Meta达成14亿美元的重大和解。各州检察长还通过全国总检察长协会下的多州联盟合作调查数据泄露和隐私事件。

联邦贸易委员会扩大了隐私执法范围,重点关注健康和位置数据。近期的行动包括针对BetterHelp和Celebral等健康科技公司未经授权共享健康数据的案件。2024年,FTC修订了《健康违规通知规则》,将健康和健身应用纳入覆盖范围。FTC还针对Mobilewalla、Gravy Analytics和Venntel、InMarket以及X-Mode和Outlogic销售位置数据的行为采取了行动,强调位置数据属于敏感数据。

AI对数据隐私问题的影响增加了复杂性。FTC引入了“算法处置”作为执法工具,要求企业删除在违反数据隐私法的情况下收集的数据训练出的AI模型。

一些州的法律通过赋予消费者选择退出自动决策(包括画像)的权利,并要求对存在“较高伤害风险”的活动进行数据隐私评估,来解决AI相关的隐私问题。

各州数据隐私法的拼凑格局变得更加复杂。新罕布什尔州、特拉华州、爱荷华州、内布拉斯加州、新泽西州、田纳西州、明尼苏达州和马里兰州将在今年实施自己的数据隐私法。

这些法律在义务和消费者权利方面与现有隐私法基本一致。例如,大多数法律要求企业尊重数据处理的通用退出机制,正如丝芙兰案所强调的那样,丝芙兰未能通过全球隐私控制处理退出请求。全球隐私控制是一种技术规范,允许互联网用户有效向企业传达其隐私偏好。

然而,其中一些法律有独特要求。特拉华州《个人数据隐私法》不豁免非营利组织,并且只豁免《健康保险可移植性和责任法案》所涵盖的数据,而非HIPAA豁免的组织。远程医疗服务提供商可能因收集特拉华州居民的非受保护健康信息(如网站分析数据或营销信息)而受到特拉华州法律的约束。

明尼苏达州《消费者数据隐私法》豁免小企业,但要求在出售敏感个人数据前获得选择同意。它不豁免所有受明尼苏达州法律约束的组织,仅豁免受明尼苏达州法律约束的数据和某些金融机构。该法律要求企业维护数据清单,这是大多数其他法律不要求的最佳实践。明尼苏达州法律还赋予消费者对基于其数据的画像结果提出异议的权利,并要求有清晰的超链接标明“您的退出权利”或“您的隐私权利”。

马里兰州《在线数据隐私法》禁止出售敏感个人数据,并将收集、处理或共享限制在严格必要的范围内。它还禁止在知道或应知消费者未满18岁时出售或处理未成年人数据用于定向广告。从10月开始,马里兰州法律还将要求对高风险算法进行隐私影响评估,可能导致广泛的评估。

面对这些激进的政府行动、AI的影响以及即将生效的数据隐私法,企业应考虑以下关键行动,并决定采用全国统一还是州级差异化的方法。

在全国统一方法下,企业将采取既满足共同法律要求又满足各州独特法律要求的数据隐私实践。这种方法有助于为未来的州数据隐私法做好准备,但可能因在更为宽松的州施加不必要的限制而导致收入损失,也可能导致小企业或数据活动有限的企业在不必要的合规上花费资源。

在州级差异化方法下,企业的合规机制将根据其提供产品或服务的各州法律而变化。这种方法对于仅受少数州法律约束的企业来说可能具有成本效益,但需要随着新隐私法的颁布不断更新。

无论选择哪种方法,企业都需要根据隐私法的新要求、FTC针对的要素以及与AI相关的部分(特别是涉及敏感数据和未成年人数据)重新审视其数据实践的各个方面,包括数据收集、处理、共享、存储和删除。

根据法律要求实施隐私影响评估,包括高风险AI系统或对消费者构成更高伤害风险的处理活动,是至关重要的。

应审查和修订面向消费者的隐私政策和通知,以确保符合新的隐私法。同时,为与AI系统互动的员工制定内部隐私准则至关重要。

加强同意机制是遵守新隐私法的另一个关键重点。实施针对AI数据处理的细化同意选项,并确保使用的语言清晰明确地说明AI的参与方式。

金融服务和医疗保健提供者应对州数据隐私法的适用性进行彻底的法律分析,即使它们受GLBA和HIPAA约束。

驾驭拼凑式法规、更严格的政府执法以及AI驱动的隐私挑战的复杂性,需要咨询具有高度技能(而不仅仅是经验)的隐私律师。

通过建立强大的数据隐私合规计划并避免代价高昂的执法行动,企业可以在日益注重隐私的世界中获得客户信任并加强品牌。

本文不一定反映彭博行业研究集团(《彭博法律》和《彭博税务》的出版方)或其所有者的观点。

作者信息:Lena Kempe是LK律师事务所的首席律师。拥有超过20年在律师事务所和公司(包括总法律顾问角色)的法律经验,她在人工智能、信息技术、知识产权和数据隐私方面提供战略指导。